Due anni dopo la sua applicazione, la nuova normativa ha contribuito a costruire una cultura della privacy nelle imprese? E i consumatori sono diventati più attenti nel condividere i propri dati personali?

Le riflessioni sono affidate alla penna di Tony Anscombe, Global Security Evangelist, ESET Security Community

«Affidarsi al governo per proteggere la tua privacy è come chiedere a un voyeur di installare le tende alle tue finestre», John Perry Barlow, EFF (luglio 1992).

Chiunque abbia minimamente a cuore il tema della tutela dei dati personali online probabilmente apprezzerà la citazione di Barlow. Sono passati due anni dall’attuazione del Regolamento generale sulla protezione dei dati (GDPR), promosso dall’Unione Europea con l’intento di proteggere i dati personali delle persone fisiche e di semplificare i requisiti per le imprese.

Sono diminuite le violazioni dei dati? Le aziende prendono più sul serio la privacy e il consenso? Le persone si impegnano maggiormente nella protezione dei propri dati personali? È difficile rispondere alla domanda se il GDPR abbia avuto successo, perché non sappiamo cosa sarebbe successo se il regolamento non fosse entrato in vigore.

Privacy, il dibattito è in primo piano

Senza dubbio, però, il panorama della privacy globale è cambiato con il GDPR. La legislazione ha posto in primo piano il dibattito sulla privacy nelle istituzioni e nelle sale riunioni di tutto il mondo. Ora ci sono più di 100 Paesi e Stati con norme sulla privacy individuali e alcuni hanno chiaramente preso il GDPR come modello di base per la propria legislazione.

Il crescente numero di regolamenti in tutto il mondo dimostra la necessità e la volontà degli organi di governo di intervenire, ma l’incremento crea una complessità. La complessità di così tanti regolamenti significa che le aziende cercheranno di armonizzare il proprio approccio alla privacy per conformarsi alla maggioranza e avere una posizione difendibile nel caso in cui violino inavvertitamente un regolamento.

Le multe

Le aziende hanno iniziato a rispettare il GDPR per evitare multe e penali. La prima ammenda importante, di 50 milioni di euro (54 milioni di dollari Usa), è stata emessa nel gennaio 2019 nei confronti di Google dall’autorità francese per la protezione dei dati Cnil, per aver mostrato insufficiente controllo, consenso e trasparenza sull’uso dei dati personali per la pubblicità comportamentale.

Pena eclissata dalla mastodontica multa da 183 milioni di sterline (221 milioni di dollari) emessa dall’Ufficio del Commissario britannico per l’informazione (Ico) contro British Airways nel luglio 2019 per la scarsa sicurezza che ha favorito un attacco su 380.000 transazioni effettuate sul sito web. In confronto, poco o nulla sono le 500.000 sterline (663.000 dollari) commissionate dall’Ico per quanto riguarda lo scandalo Cambridge Analytica, risalente a poco prima dell’attuazione del GDPR. Ed era la multa massima in quel momento.

Il ruolo della legge

I consumatori dei Paesi in cui la legislazione sulla privacy ha adottato un approccio simile al GDPR sono abituati alle numerose richieste di consenso che le aziende ora sono tenute a richiedere quando raccolgono dati personali. La posizione coraggiosa di richiedere il consenso esplicito ha fissato l’asticella per la futura legislazione da parte di altre autorità; anche se l’“opt-out” è diventato il percorso scelto, l’importanza del messaggio, che può probabilmente, in parte, essere attribuita al GDPR, almeno dà al consumatore la possibilità di prendere una decisione informata.

C’è stato anche un cambiamento radicale nello sviluppo di prodotti e servizi, e anche questo può, in parte, essere attribuito al GDPR. Per ogni nuovo prodotto di servizio, la privacy è diventata un approccio standard che qualsiasi team di progetto inserisce già in fase di progettazione come impostazione predefinita. I consumatori ora si aspettano che ci sia una relazione di fiducia con i fornitori e i venditori hanno realizzato che questo porterà un successo commerciale a lungo termine.

Dati personali e Covid

Non è possibile parlare di GDPR senza menzionare l’attuale situazione condizionata dal Covid-19, con le numerose applicazioni di tracciamento dei contatti e i dati di mappatura della posizione forniti ai governi da parte delle compagnie di telecomunicazioni.

Se la privacy può essere messa in secondo piano in alcuni casi, o almeno modificata a un punto che in circostanze normali sarebbe inaccettabile, la visibilità delle informazioni personali creata sia dal GDPR sia dallo scandalo Cambridge Analytica ha causato un controllo globale sull’uso dei dati per aiutare a risolvere l’attuale pandemia.

Questo esame ha visto i governi fare marcia indietro sulle proposte e le aziende tecnologiche innovare nuovi metodi per garantire l’anonimato. C’è anche un consenso generale sul fatto che un’applicazione di tracciamento dei contatti debba rispettare il diritto dell’utente alla privacy. Il GDPR ha legittimato i sostenitori della privacy in tutto il mondo. La grande domanda, tuttavia, rimane: «I cittadini sono diventati i proprietari dei propri dati personali?», come diceva il compianto Steve Jobs. «Privacy significa che le persone devono sapere a cosa si stanno iscrivendo, e tutto questo deve essere spiegato in un linguaggio semplice e senza ambiguità. Credo che le persone siano intelligenti. Alcune vogliono condividere più di altre. Basta chiedere loro il consenso», diceva sempre Steve Jobs.